En esta sección, se describen las diferentes capas de encriptación en el almacenamiento. Dispositivo aislado de Google Distributed Cloud (GDC) El almacenamiento de backend de NetApp ONTAP Select (OTS) encripta todo el contenido de los clientes almacenado en reposo y en tránsito, sin que debas realizar ninguna acción, mediante uno o más mecanismos de encriptación. En las siguientes secciones, se describen los mecanismos para encriptar los datos del cliente en reposo y en tránsito en la capa de almacenamiento del dispositivo aislado de GDC.
Encriptación en reposo
El dispositivo aislado de GDC proporciona diferentes capas de encriptación de datos en reposo. OTS es el sistema de backend que usa el clúster para almacenar datos. OTS proporciona un almacén de datos, replicación de datos y reequilibrio.
Brindamos asistencia para HSM externos para que el cliente conecte sus propios dispositivos HSM al clúster de metal desnudo. Si el cliente proporciona un HSM, se usa el mecanismo de encriptación integrado en el OTS, NetApp Volume Encryption (https://www.netapp.com/media/19767-ds-3899-1117.pdf), para encriptar los datos en reposo. Las claves se administran internamente entre el OTS y el dispositivo HSM a través del Protocolo de interoperabilidad de administración de claves (KMIP).
Si el cliente no proporciona ningún dispositivo externo para la administración de claves, el clúster aplicará la encriptación LUKS en su capa de metal desnudo y encriptará todos los datos de los discos. Nota: Los dos métodos de encriptación se aplican de forma exclusiva para evitar la encriptación duplicada.
Encriptación en tránsito
Los datos en tránsito se encriptan con IPsec en dos tipos de tráfico de OTS:
- Tráfico externo entre hosts de metal desnudo y máquinas virtuales de almacenamiento (SVM) de OTS.
- Tráfico interno entre los nodos trabajadores de OTS.
La biblioteca de terceros strongSwan (https://strongswan.org/) implementa IPsec en ambos tráficos. El tráfico interno de OTS se compila con el túnel vxlan de OpenVSwitch y también usa strongSwan para encriptar el flujo de datos en la capa inferior.